Error conocido de Citrix Workspace abre un nuevo vector de ataque

Se descubrió que una vulnerabilidad de Citrix Workspace, que se solucionó en julio, tiene un vector de ataque secundario, que permitiría a los ciberdelincuentes elevar los privilegios y ejecutar de forma remota comandos arbitrarios en la cuenta SYSTEM. El error (CVE-2020-8207) existe en el servicio de actualización automática de la aplicación Citrix Workspace para Windows. Podría […]

Se descubrió que una vulnerabilidad de Citrix Workspace, que se solucionó en julio, tiene un vector de ataque secundario, que permitiría a los ciberdelincuentes elevar los privilegios y ejecutar de forma remota comandos arbitrarios en la cuenta SYSTEM.

El error (CVE-2020-8207) existe en el servicio de actualización automática de la aplicación Citrix Workspace para Windows. Podría permitir la escalada de privilegios local, así como el compromiso remoto de una computadora que ejecuta la aplicación cuando el uso compartido de archivos de Windows (SMB) está habilitado, según el aviso de Citrix.

El error, aunque se corrigió en su mayoría durante el trimestre pasado se descubrió recientemente que aún permitía a los atacantes abusar de los instaladores MSI firmados por Citrix, según Pen Test Partners (MSI es la extensión del nombre de archivo de los paquetes de Windows Installer). Esto convierte el error en una vulnerabilidad de inyección de línea de comandos remota.

El servicio de actualización se basó originalmente en un hash de archivo defectuoso dentro de una carga útil JSON para determinar si una actualización debería continuar o no, lo que permite a los atacantes descargar su propio código explotando el hash débil. Para solucionar el problema, los catálogos de actualización más recientes ahora se descargan directamente de los servidores de actualización de Citrix, y el servicio “hace una referencia cruzada de los hash con el archivo que se solicita para instalar desde el atributo UpdateFilePath”, escribieron los investigadores de Pen Test Partners, en una publicación este lunes.

“Si el archivo de actualización está firmado, es válido y el hash del archivo de actualización coincide con uno de los archivos dentro del manifiesto, el archivo de actualización se ejecuta para realizar la actualización”, explicaron.

Sin embargo, el parche no impidió la conectividad remota para limitar la superficie de ataque.

“El catálogo incluye ejecutables y archivos MSI para su instalación”, según la firma. “Los archivos MSI, por otro lado, no se pueden ejecutar de la misma manera que los archivos ejecutables, por lo tanto, el servicio de actualización debe manejarlos de manera diferente”.

Al observar el código de inicio del instalador, los investigadores descubrieron que la aplicación verifica la extensión del archivo solicitado para la actualización y, si termina con MSI, se supone que es un archivo de Windows Installer. Dado que se comprueba si el archivo MSI tiene una firma válida y se hace una referencia cruzada con el catálogo actual, los atacantes no pueden instalar directamente archivos MSI arbitrarios.

Aunque los archivos MSI están firmados y con hash para evitar modificaciones, una de las características admitidas por Windows Installer es MSI Transforms (MST).

“Como sugiere el nombre, MSI Transforms admite la alteración o transformación de la base de datos MSI de alguna manera antes de la instalación”, según Pen Test Partners. “Los administradores de dominio suelen utilizar esta función para enviar archivos MSI dentro de entornos de Active Directory que no siempre funcionan de forma desatendida cuando se ejecutan por sí mismos. Por ejemplo, se puede crear un MST que inyecte un código de activación del producto antes de la instalación “.

Para aplicar un MST, los usuarios deben especificar la ruta al archivo de transformación en la línea de comando, que fusiona el archivo MSI principal con los cambios que están presentes dentro del archivo MST durante el proceso de instalación.

Ahí radica el error: “Ya que podemos controlar los argumentos pasados ​​a msiexec, podemos incluir la ruta a un Transform malicioso, pero usando un Citrix MSI oficial y firmado que está presente dentro del archivo de catálogo”, dijeron los investigadores.

Las transformaciones maliciosas se pueden generar con una herramienta existente llamada Microsoft Orca , agregaron, o con una herramienta personalizada. Luego, para aprovechar la vulnerabilidad, los atacantes colocarían el instalador MSI original y el MST en un recurso compartido de red listo para la máquina víctima.

“Tanto los métodos de escalada de privilegios locales como los remotos solo pueden explotarse mientras una instancia de CitrixReceiverUpdate.exe se está ejecutando en el host de la víctima como antes”, concluyeron los investigadores. “Creo que el vector remoto es más fácil de explotar esta vez, ya que puede colocar archivos MSI y MST en un recurso compartido de red bajo el control del atacante”.

Los usuarios de Citrix Workspace para Windows deben actualizar sus aplicaciones a la última versión, que contiene un parche revisado.